近期,一起由经济利益驱动的网络安全事件引发了广泛关注。在2026年1月11日至2月18日这段时间里,一个威胁行为体利用多种商用生成式AI服务,成功入侵了遍布55个国家的超过600台FortiGate设备。这个案例清晰地表明,AI技术正在显著降低网络攻击的门槛,使得个人或小型团队也能执行以往需要庞大专业团队才能完成的复杂攻击。
在云栈社区的网络安全板块,我们经常讨论此类自动化攻击的演变趋势。
大规模入侵事件概述
威胁行为体获得初始访问权限的方式,完全依赖于利用暴露在互联网上的FortiGate管理界面凭据,并未涉及任何0Day漏洞或新型攻击技术。他们的操作模式相当系统化:通过扫描443、8443、10443和4443等端口,精准识别出那些使用了弱密码、重复密码,并且仅采用单因素认证的设备。
高价值配置数据泄露
从被攻破的FortiGate设备中提取的配置文件,其价值远超想象。这些文件通常包含:可恢复密码的SSL-VPN用户凭据、管理员账户信息、完整的网络拓扑数据、IPsec VPN对等配置,以及能揭示内部网络架构的详细防火墙策略。
攻击者使用AI辅助编写的Python脚本,对这些海量配置进行自动化的解析、解密和整理,实现了高效的规模化凭据收集。其攻击目标呈现出明显的“机会主义”特征,而非针对特定行业,这与自动化大规模扫描的行为模式是吻合的。
不过,安全分析师也发现,当同一组织的多台FortiGate设备接连失守时,会形成一种组织级的入侵模式,其中不乏与托管服务提供商(MSP)部署相关的设备集群。此次受感染设备主要集中在南亚、拉丁美洲、加勒比地区、西非、北欧和东南亚。
AI驱动的攻击流水线
根据分析报告,威胁行为体在攻击的几乎每一个阶段,都至少依赖了两种不同的商用大语言模型服务。其中一种LLM充当主要的工具开发和攻击规划角色,另一种则作为在已攻陷网络内部进行横向移动的辅助工具。
在一个被记录的案例中,攻击者甚至将完整的受害者网络拓扑(包括IP地址、主机名、有效凭据和已识别的服务)直接输入AI服务,并要求其提供“逐步横向移动”的指导。分析师将这种操作模式形象地描述为“网络犯罪的AI驱动流水线”。
攻击手法技术细节
在成功侵入FortiGate防火墙后,攻击者采用了结构化的后续手段。他们部署了带有Mimikatz模块的Meterpreter,对域控制器实施DCSync攻击,并成功从多个Active Directory环境中提取了完整的NTLM凭据哈希数据库。
在至少一起已确认的入侵事件中,域管理员账户使用的密码,竟然与从FortiGate配置中获取的明文密码相同,或者是独立设置的另一个弱密码。
横向移动则通过哈希传递、票据传递和NTLM中继等经典攻击技术实现。值得注意的是,攻击者专门针对Veeam备份与复制服务器,使用PowerShell脚本和编译的解密工具进行破坏,意图摧毁备份基础设施,为后续可能部署的勒索软件扫清恢复障碍。
攻击者技术局限性
尽管攻击规模庞大,但分析显示攻击者存在持续的技术短板。他们在面对防护措施完善的环境时屡屡受挫(其内部操作笔记中亦有记载),并会主动放弃防御有效的目标。这证实了他们的优势在于AI增强后的攻击效率和规模,而非技术深度。
例如,他们用Go和Python编写的、由AI生成的侦察框架,就显示出一些初级开发的特征:比如重复注释函数名、仅通过字符串匹配进行简单的JSON解析,以及存在空文档存根。
相关漏洞信息
虽然本次攻击未利用0day漏洞,但了解相关历史漏洞有助于全面评估风险。
防御建议与IOC信息
安全机构已与相关行业伙伴共享了入侵指标(IOC),以协调各受影响国家的应对措施。使用FortiGate设备的组织应立即采取以下行动:
- 将管理界面从互联网隔离。
- 对所有VPN和管理访问强制实施多因素认证(MFA)。
- 立即轮换所有SSL-VPN和管理员凭据。
- 审计Active Directory中的DCSync活动(重点关注事件ID 4662)。
鉴于此次攻击大量使用了Impacket、gogo和Nuclei等合法的开源工具,而非传统的恶意软件,因此强烈建议转为监控以下异常行为模式:
- VPN认证的异常模式(如大量失败尝试后成功)。
- Active Directory中非预期的目录复制请求(DCSync)。
- 备份服务器上出现未经授权的PowerShell模块加载行为。
相关IOC信息如下:
参考来源:
Hackers Leveraging Multiple AI Services to Compromise 600+ FortiGate Devices
https://cybersecuritynews.com/600-fortigate-devices-hacked/
发表于 16 小时前
|
查看: 2|
回复: 0
